Publié

De l'importance de bien choisir ses mots de passe

Comment créer un bon mot de passe? [Depositphotos - Kpatyhka]
Sécurisez vos mots de passe ! / On en parle / 18 min. / le 4 mai 2023
Achats, réseaux sociaux, logiciels ou stockage de données: à chaque activité sur internet son mot de passe. Ce jeudi 4 mai, les sésames numériques ont même droit à leur propre journée mondiale. Pour les autorités suisses, c'est l'occasion de lancer une campagne nationale de prévention.

Durant tout le mois de mai, le Centre national pour la cybersécurité, la Prévention suisse de la criminalité ainsi que les corps de police cantonaux et municipaux vont mener cette campagne de sensibilisation centrée sur la sécurité des mots de passe, avec le soutien de la plateforme pour la sécurité sur Internet iBarry et de "eBanking - en toute sécurité!" (EBAS).

"Un mot de passe fort doit comporter au moins douze signes et contenir aussi bien des lettres minuscules et majuscules que des caractères spéciaux et des chiffres", conseillent les initiants de la campagne. Idéalement, le sésame ne doit pas figurer comme tel dans un dictionnaire.

>> A lire également : Lancement d'une campagne de sensibilisation à la cybercriminalité en Suisse

L'inutile "123456" fréquemment utilisé

Le hic, c'est que cette méthode complique la mémorisation des identifiants, alors qu'il est recommandé d'adopter un code différent pour chaque plateforme. Du reste, cette difficulté explique pourquoi les mots de passe "bonjour" ou "123456" sont encore le plus fréquemment utilisés en Suisse. Avec des clés aussi simplistes, pirater les données devient un jeu d'enfant pour les cybercriminels.

Par l'intermédiaire de la campagne de sensibilisation S-U-P-E-R.ch, les autorités chargées de la sécurité et leurs organisations partenaires veulent donc attirer l'attention sur les risques inhérents aux mots de passe faibles et démontrer comment protéger ses accès de manière optimale.

Des logiciels de gestion de mots de passe

Des logiciels permettent de gérer ses mots de passe et, ainsi, de se simplifier la tâche. "Il y en a qui sont intégrés sur certains téléphones ou certaines plateformes – Apple, par exemple. D'autres logiciels sont autonomes", indique jeudi dans l'émission On en parle Stéphane Koch, vice-président d'ImmuniWeb SA et expert en sécurité de l'information.

Ces logiciels sont une sorte de coffre-fort à mots de passe. "Il y a deux méthodes pour stocker ses données: soit dans le cloud, soit sur un support physique, par exemple le disque dur de son ordinateur. Dans le cloud, cela fait parfois un peu peur. Malgré cette impression de perte de données, ce n'est pas tellement le cas. Cela revient à louer une chambre dans un immeuble. Le propriétaire a les clés qui permettent de rentrer dans l'immeuble, mais il n'a pas la clé de votre chambre. Il n'y a que vous qui avez cette clé", illustre Stéphane Koch.

Et la clé de cette chambre, c'est le mot de passe. On n'y coupe pas: celui-ci devra être retenu… Et puisqu'il donne accès à tout le reste du trousseau, il doit absolument être fiable. Le but: "éviter qu'on puisse fracturer la serrure", selon Stéphane Koch.

>> Réécouter également ce sujet :

Une personne utilise un gestionnaire de mots de passe sur son ordinateur. [Depositphotos - kamachi]Depositphotos - kamachi
Question minute: utiliser un gestionnaire de mots de passe / On en parle / 1 min. / le 24 octobre 2022

Automatisation de la sécurité

Ce type d'outils a l'avantage de générer automatiquement les mots de passe. Il suffit de préciser certains paramètres, tels que le nombre de caractères. "La plupart des mots de passe sont impossibles à retenir, mais le gestionnaire va le faire pour vous", assure l'expert. "Quand vous vous rendez sur la plateforme sur laquelle vous devez insérer le mot de passe adéquat, le gestionnaire vous le propose."

Notons toutefois un désavantage. Les logiciels sur support physique sont dépendants de ce dernier. Perdez ou cassez votre ordinateur et les données sont perdues, note Stéphane Koch. Ceux qui sont stockés en ligne ne rencontrent pas le même problème. "Si on perd un périphérique, on peut récupérer l'accès depuis un autre", souligne-t-il.

Il indique également que l'utilisation d'une authentification forte, qui implique l'insertion d'un code de validation après avoir donné son mot de passe, est une condition sine qua non à l'utilisation d'un gestionnaire. Selon lui, ce type de sécurité devrait être utilisé pour protéger l'accès à nos comptes en ligne.

10PierReQuiroulenamAssepasmoussE!!!

Stéphane Koch livre aussi sa recette personnelle pour créer un code fiable: "Pour créer un mot de passe qui soit facile à retenir mais quand même complexe, on peut essayer 'une phrase de passe'. C'est, par exemple, une expression idiomatique. Je prends 'pierre qui roule n'amasse pas mousse'. Je commence avec 10 en chiffres. Je mets une ou deux majuscules dans les mots et je finis avec trois points d'exclamations."

Cela donnera donc (les exemples sont infinis): 10PierReQuiroulenamAssepasmoussE!!!

Stéphane Koch ajoute une autre recommandation: il ne faut pas mettre d'informations personnelles dans le mot de passe, en cas de fuite de celui-ci.

Sécurité boostée

Et pour encore plus de sécurité, on peut également opter dans certains cas pour une authentification à deux facteurs ou une reconnaissance par données biométriques, par exemple l'empreinte digitale ou la reconnaissance faciale.

Une autre possibilité est l'arrivée des "passkeys" ou clé d’accès, qui sont proposées pour les comptes Google depuis mercredi. Pour se connecter, il est désormais possible de choisir sa méthode d’identification. Le mode "clé d’accès" créé une clé cryptée qui est stockée sur le téléphone. La connexion doit ensuite être validée par l'authentification faciale, l'empreinte digitale ou un code. Sur un ordinateur, le système requiert de scanner un QR code.

"Néanmoins, il faudra encore du temps pour que toutes les plateformes soient compatibles avec ce type d'authentification", relève Stéphane Koch. "Le mauvais réflexe serait de se dire que l'on va attendre que ce système soit actif, plutôt que de prendre des mesures pour renforcer la sécurité de ses accès. Aujourd'hui, le gestionnaire de mots de passe et la double identification sont la norme et les 'passkeys' une alternative qui s'installe peu à peu dans notre environnement numérique", développe le spécialiste en sécurité de l'information.

>> Ecouter le sujet de la chronique CTRL-Z sur les "passkeys" dans La Matinale :

Passkeys ou le lien entre votre navigateur et votre smartphone pour vous identifier en ligne [Apple]Apple
CTRL+Z - L'arrivée des passkeys sonne-t-elle la fin des mots de passe? / CTRL+Z / 4 min. / le 5 mai 2023

Propos recueillis par Jérôme Zimmermann et Laurence Froidevaux

Adaptation web: ami avec ats

Quelques noms de logiciels de gestion de mots de passe peuvent être trouvés sur la page de l'émission On En Parle

Publié